一、概述

        我们知道,k8s各项组件之间的通信,都是使用https协议进行的,也就是ca证书,那么我们也知道ca证书都是有“有限期的”,一旦过期,系统就无法进行通信了;

        这也是k8s在企业当中经常遇到的证书过期问题,也是需要我们来监控的;避免系统无法使用;

二、查询证书有效期

        当然,折中查询方式,仅限于我们是kubeadm部署k8s集群,才能用,如果你是二进制部署,那么这个命令是不管用了,你需要使用创建证书的工具去查询;

[root@k8s231 ~]# kubeadm certs check-expiration

三、安全起见,重要的数据先备份

#备份证书

[root@k8s231 ~]# cp -rf /etc/kubernetes/  /etc/kubernetes.bak

#备份数据库
[root@k8s231 ~]# cp -rf /var/lib/etcd/ /var/lib/etcd.bak

四、升级证书

        温馨提示:根证书默认创建有效期都是十年,我们不用关注,只需要关注客户端证书即可,默认客户端有效期是1年;

[root@k8s231 ~]# kubeadm certs renew all

        升级后,再次查看证书,可以看到,有效期延长了(默认是再次变成有效期65天);

五、重启相关组件的pod

        提示,不重启,不生效;就是删除pod;他自动回拉取新的;

[root@k8s231 ~]# kubectl delete pods -n kube-system etcd-k8s231 kube-apiserver-k8s231 kube-controller-manager-k8s231 kube-scheduler-k8s231

至此,证书升级完毕;

Logo

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐